Login anônimo inesperado nos logs de segurança do Windows

Login anônimo inesperado nos logs de segurança do Windows

Eu tenho uma conta de servidor VPS para alguns projetos e estava solucionando um problema anteriormente quando o seguinte apareceu nos logs (entre a torrente de bots tentando adivinhar os detalhes da conta...). Estou bastante surpreso com isso; a conta de convidado está claramente desativada no painel de controle do usuário do Windows.

Alguma idéia do que pode estar acontecendo aqui?

An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:        -
    Account Domain:        -
    Logon ID:        0x0

Logon Type:            3

New Logon:
    Security ID:        ANONYMOUS LOGON
    Account Name:        ANONYMOUS LOGON
    Account Domain:        NT AUTHORITY
    Logon ID:        0xed801aa
    Logon GUID:        {00000000-0000-0000-0000-000000000000}

Process Information:
    Process ID:        0x0
    Process Name:        -

Network Information:
    Workstation Name:    WIN7USE-NAN0EX2
    Source Network Address:    114.38.156.233
    Source Port:        55598

Detailed Authentication Information:
    Logon Process:        NtLmSsp
    Authentication Package:    NTLM
    Transited Services:    -
    Package Name (NTLM only):    NTLM V1
    Key Length:        128

EDIT: Sim, o Firewall do Windows está ativado e a máquina está atualizada com patches. Os serviços em execução e acessíveis externamente são IIS, DNS, hMailServer e Dropbox (para movimentação de backups, embora estejam temporariamente desativados). Caso contrário, as regras de firewall são padrão do fornecedor VPS.

Responder1

Primeiro, ANONYMOUS LOGONnão é a conta de Convidado, então não vamos confundir as duas. São coisas separadas. A menos que seu servidor esteja totalmente mal configurado, esses eventos sãoprovavelmenteinofensivo. Por exemplo, o Windows nunca permitirá que alguém faça logon interativo no computador com um logon anônimo.

Existem algumas pequenas informações que, por padrão, o Windows fornecerá anonimamente. Por exemplo, outro computador na rede tentando enumerar compartilhamentos de arquivos no seu computador. Isso registrará um logon anônimo. Porque eles não precisavam se autenticar em uma conta de usuário apenas para ver se você estava hospedando algum compartilhamento de arquivos.

Você verá esses logons anônimos também chamados de sessões nulas. Para criar uma sessão nula, tente isto:

C:\>net use \\PC01\ipc$ "" /user:""
The command completed successfully.

Isso irá desencadear um evento de segurança exatamente como o que você postou acima. Mas eu ainda não hackeei sua máquina... então não há muito com que se preocupar.por si só. Não há muito que você possa fazer com uma sessão nula. E você pode restringi-lo ainda mais com GPOs/Política de Segurança Local:

  1. Acesso à rede: permitir tradução anônima de SID/nome
  2. Acesso à rede: não permitir enumeração anônima de contas SAM
  3. Acesso à rede: não permitir enumeração anônima de contas e compartilhamentos SAM
  4. Acesso à rede: permita que as permissões de todos sejam aplicadas a usuários anônimos
  5. Acesso à rede: Pipes nomeados que podem ser acessados ​​anonimamente
  6. Acesso à rede: compartilhamentos que podem ser acessados ​​anonimamente

(Essas políticas estão no snap-in Console de Gerenciamento Microsoft — MMC — Política de Segurança Local em Configuração do Computador\Configurações do Windows\SecuritySettings\Políticas Locais\SecurityOptions.)

Mas como a EAAA disse, o que vocêdeveO que me preocupa é que alguém em Taiwan ainda tenha a conectividade de rede necessária para sua máquina para fazer essa conexão de rede em primeiro lugar. Isso significa que seu firewall possui falhas que você deve fechar.

Eu fecharia tudo exceto 3389 para que você possa acessar seu computador remotamente, e as portas 80 e 443 se for um servidor web... ou apenas o que você precisa, como disse a EAAA. Não sabemos o que todo o seu VPS faz. :)

informação relacionada